Empresas não avaliam riscos de tecnologia em auditoria interna

Uma pesquisa realizada pela Protiviti e Isaca, com o título IT Audit Perspectives: Top Technology Risk in 2021, identificou as principais preocupações que mais de 7,4 mil líderes de auditoria de TI e profissionais de organizações em todo o mundo estão enfrentando e planejando abordar no próximo ano. O relatório observa que os líderes digitais (aqueles que se caracterizam como inovadores e disruptivos) se destacam em sua frequência de realização de avaliações de risco em auditoria de tecnologia, impulsionado por formas mais ágeis de trabalho, bem como mais integração e uso de dados e tecnologia. No entanto, a maioria (67%) das organizações não se classifica como líderes digitais e 11% dos não líderes não estão realizando qualquer forma de avaliação de risco.
A pesquisa pediu aos entrevistados que avaliassem a importância de 39 questões de risco de tecnologia. Destes, os 10 principais identificados foram: Violação cibernética, Confidencialidade e privacidade, Conformidade regulatória, Acesso do usuário, Gerenciamento de Incidentes de Segurança, Recuperação de desastres, Governança de dados, Risco de terceiros, Infraestrutura de local de trabalho remoto e Risco de disponibilidade.

Para a maior parte, os 10 principais riscos de tecnologia para líderes digitais e outras empresas eram os mesmos, mas os índices de risco tendiam mais para líderes digitais. Isso provavelmente é resultado de vários fatores, incluindo os ambientes de tecnologia geralmente mais complexos de tais organizações, bem como o uso mais extenso de tecnologias avançadas (como automação inteligente, IoT, Inteligência Artificial e Machine Learning) e os níveis gerais de dados e tecnologia empregados por líderes digitais para apoiar seu envolvimento mais aprimorado com o cliente, desempenho operacional e digitalização de produtos e serviços.
Uma diferença notável entre os líderes digitais e outras organizações foi que a estratégia e a adoção da Nuvem foram um dos 10 principais riscos mencionados pelos líderes digitais, mas não para os outros, porque estes eram mais propensos a incluir tecnologias de Nuvem em sua entrega de serviços de negócios e, em longo prazo, planejamento e estratégia.
“As empresas precisam de visibilidade para identificar e avaliar efetivamente os riscos. A mudança repentina para o trabalho remoto, bem como a interrupção mais ampla experimentada por muitos, revelou a importância de identificar e avaliar os riscos de tecnologia de forma mais dinâmica e frequente para ter visualizações e respostas em tempo real”, disse Andrew Struthers-Kennedy, diretor administrativo da Protiviti. “Estamos vendo uma demanda significativa de empresas que precisam de ajuda para integrar abordagens mais dinâmicas e baseadas em dados para avaliações de risco em suas atividades de auditoria interna”, afirmou o executivo.
A pesquisa descobriu ainda que a maioria das organizações (61%) agora está identificando e avaliando os riscos de tecnologia para fins de planejamento de auditoria como parte do processo geral de avaliação de risco da auditoria interna. No entanto, isso deixa um preocupante 39% das organizações que não estão avaliando especificamente os riscos de TI no desenvolvimento de planos de auditoria.
Apesar da distribuição geográfica dos respondentes da pesquisa e do número de setores incluídos, a classificação dos riscos de tecnologia foi geralmente consistente. Profissionais de auditoria de TI da América do Norte, África, Ásia, Europa, Oriente Médio e Oceania classificaram as violações cibernéticas como sua principal preocupação, com quase 80% observando globalmente que planejam abordar o risco em seus planos de auditoria para 2021. Violações cibernéticas também foram uma preocupação primária em todos os setores da indústria, incluindo bens de consumo embalados e varejo; energia e serviços públicos; serviços financeiros; cuidados de saúde; fabricação e distribuição; e tecnologia, mídia e telecomunicações.
“As respostas deste estudo mostram que os passos em falso no gerenciamento de risco são amplificados para organizações que ainda não dominaram as respostas oportunas à interrupção dos negócios”, disse Robin Lyons, líder de Práticas Profissionais de Auditoria de TI da Isaca. “As funções de auditoria que têm uma estratégia que acompanha os riscos de longo prazo e os riscos de alta velocidade demonstrarão seu valor à medida que continuam a fornecer garantia, independentemente de qualquer interrupção”, concluiu.
Serviço
www.protiviti.com